image

WinRAR-lek maakt spoofen bestandsnaam mogelijk

dinsdag 25 maart 2014, 13:14 door Redactie, 7 reacties

Een lek in het populaire archiveringsprogramma WinRAR maakt het mogelijk om bestandsnamen te spoofen, wat tot het openen en installeren van malware kan leiden. Het probleem ontstaat door de manier waarop WinRAR met ZIP-bestanden omgaat, zo blijkt uit de uitleg van een Israëlische onderzoeker.

Het ZIP-formaat bevat een veld genaamd 'filename' dat wordt gebruikt voor de bestandsnaam van een uit te pakken bestand in een ZIP-archief. WinRAR voegt bij het maken van een ZIP-archief een tweede veld 'filename' toe en gebruikt dit veld voor de weergave van de bestandsnaam in de WinRAR-gebruikersinterface. Een aanvaller kan het tweede 'filename' veld aanpassen om een bestand in de WinRAR-gebruikersinterface weer te geven, terwijl het in werkelijkheid om een ander bestand gaat.

Daardoor is het mogelijk om de gebruiker te laten geloven dat er in het ZIP-bestand zich bijvoorbeeld een afbeelding bevindt, terwijl dit in werkelijkheid een uitvoer bestand is. De kwetsbaarheid is in ieder geval aanwezig in versie 4.20. Het Nationaal Cyber Security Center (NCSC) laat weten dat de nieuwste versie, 5.01, niet kwetsbaar is. Het NCSC raadt dan ook aan om naar deze versie te upgraden.

Image

Reacties (7)
25-03-2014, 13:30 door Anoniem
Maar dan zie je na het uitpakken toch alsnog dat het om een uitvoerbaar bestand gaat? Of mis ik iets?

7zip werkt sowieso beter mijn inziens, maar da's wat anders.
25-03-2014, 16:37 door Flashback956
@Anoniem

Als je hem direct uitvoert (dubbel klik) vanuit de .zip file heb je wel een probleem.
25-03-2014, 16:44 door Anoniem
Als je twee tabellen met filenamen hebt (wat het geval in het ZIP format) kun je met wat geluk in de GUI spoofen. Dat is in principe niets nieuws, dat was al zo 20 jaar geleden.
25-03-2014, 18:34 door Anoniem
Door Flashback956: @Anoniem

Als je hem direct uitvoert (dubbel klik) vanuit de .zip file heb je wel een probleem.
Ja daar had ik niet aan gedacht, vooral omdat dat dat natuurlijk een grote no-no is. Maar daar heb je wel een goed punt, iets om eens in de groep te gooien op de zaak, merci!
26-03-2014, 08:46 door Anoniem
POWNED haha :)
26-03-2014, 10:49 door johanw
Waarom voegt WinRAR eigenlijk een tweede veld filename toe dat blijkbaar geacht wordt hetzelfde te bevatten als het eerste veld filename? Welk doel dient dat? Lijkt me een nogal slecht ontwerp.
26-03-2014, 16:07 door Anoniem
Door johanw: Waarom voegt WinRAR eigenlijk een tweede veld filename toe dat blijkbaar geacht wordt hetzelfde te bevatten als het eerste veld filename? Welk doel dient dat? Lijkt me een nogal slecht ontwerp.

Het zit in het ZIP protocol. Die bestaat uit twee tabellen. Een sequentieel, per file, en een algemene inhoudsopgave aan het eind van de ZIP file. Men dacht ooit dat het handig was, maar dat was ruim voordat men erover nadacht dat kwaadwillenden hier wel eens misbruik van zouden kunnen maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.